何年も前の脆弱性を攻撃者が悪用できるのは、ユーザーに原因がある

This post is also available in: English (英語)

2020年の終わりに大きな関心を集めたサイバーセキュリティ脅威。時代は2021年に突入しましたが、その活動はエスカレートする一方のようです。今年初めまで流行が続いたSolarStorm危機に続いて、Microsoft Exchange Serverの脆弱性が1つどころか2つも発見されました。さらに直近の出来事として、ロシア対外情報庁(SVR)が利用していると米国政府が判断した5つのCVEのリストが公開されています。

ただし、最後の1つは他と一線を画す内容です。SolarStormは新種のサプライチェーン攻撃で、Microsoft Exchange Serverの脆弱性も新しく発見されたものです。しかし、米国国家安全保障局、連邦捜査局、サイバーセキュリティインフラセキュリティ庁が注意喚起した5つのCVEは、1年から3年前に発見されたもので、いずれも緩和策が公開されています。

このように過去のCVEに起因する脅威が無くならない現状からは有益な教訓が得られます。政府の連名による覚書に記載されているように、SVRが外部に公開されているアプリケーションを悪用していることは、防御側がインターネットの攻撃対象領域を把握していないことの表れです。言い換えれば、防御側がパッチ適用を長期間放置し、スキャンに対してインフラを無防備な状態にしていることが原因で、SVRをはじめとする攻撃者が何年も前のセキュリティ脆弱性を悪用し続けられるのです。

原因がネットワークデプロイ用ドキュメントの内容の不十分さであれ、開発やクラウドアーキテクチャの急速な立ち上げであれ、悪意ある内部犯であれ、外部公開されたすべてのアプリケーションを追跡し続けることは現代のITセキュリティ環境における重大な課題の1つとなっています。かつてスプレッドシートと管理IP空間の厳格な統制によって「把握できた」要素は、クラウドIPとアジャイルなWeb開発によってこれまでになく動的になっているからです。

この課題に対処する唯一の方法は、インターネットの攻撃対象領域を攻撃者と同じ視点で見ることです。まず、公共のインターネット上で脆弱な可能性があるサービスをすべてマッピングし、次に、攻撃の標的と関連のあるサービスを絞り込み、最後に、特定の攻撃に対する脆弱性をサービスが抱えているかを明らかにします。

Cortex® Xpanse™のテクノロジは、まさにこの手順を実行しています。分散型スキャンアーキテクチャとインターネットのバックグラウンドノイズを組み合わせることで、インターネット全体を1日に複数回スキャンします。その後、独自のAI/MLアルゴリズムを利用してペタバイト規模のデータを徹底的に調査することで、インターネットに公開されている資産の中から指定された組織が所有する資産を特定し、資産上で実行されているサービスをリスト化します。弊社はこの情報を基に、上述した5つの脆弱性の被害を受けるおそれがある全資産を網羅したリストを、世界的に見ても最多数の組織に提供しました。しかもそれに必要な時間は、一般的なデータ呼び出しと同等のごくわずかなものでした。

これにより弊社のお客様は、提供されたリストを基に脆弱性管理(VM)スキャンの対象を決定し、追加の脆弱性評価を実施することや、単純にサイバー衛生プロセスの一環で影響を受けかねない資産にパッチを適用し、悪意ある攻撃から組織を保護することができました。もしこのリストが無ければ、社内の記録が頼みの綱となったでしょう。しかし、こうした記録は複雑な組織の複数の階層で、さまざまなデータベースを用いて管理される場合があります。そして、VMプログラムまたは無料/低コストのスキャナの利用を目指すことになりますが、性質上、こうしたツールが利用するインターネット公開資産のリストは、たいてい不完全です。

Xpanseがパロアルトネットワークスの一部になったことで、製品ポートフォリオに含まれる他製品との統合によって、さらに優れた機能を実現できるようになりました。Cortex XSOARとの統合により、次のような自動化が可能になります。

  • 脆弱性のエンリッチ化とコンテキスト情報の追加を自動で行ってからアナリストに管理を引き継ぐことで、反復作業にではなく重要な意思決定に時間を使えるようにします。
  • ワークフローを用いた自動修復は、脆弱性スキャナからレポートを取得し、チケットをオープンしてシステム/製品へのパッチ適用をユーザーに促し、要求されるコンプライアンスプロセスを予測可能で測定可能なものにします。

最近発覚した過去のCVEに起因する脅威に対応する場合や、動的な攻撃対象領域で過去の脆弱性を探す場合は、「管理者の記憶を頼りにネットワークを把握するのと、攻撃者の視点からネットワークを把握するのでは、どちらの方法が信頼できるか?」と自問してみましょう。

『ネットワーク境界の脆弱性に対する戦術的ガイド』のホワイトペーパーをダウンロードして、一般的なネットワーク攻撃ベクトルへの対策をお確かめください。